SlideShare a Scribd company logo

(130316) #fitalk trends in d forensics (feb, 2013)

INSIGHT FORENSIC
INSIGHT FORENSIC

2013 F-INSIGHT TALK

Technology
1 of 28
Download to read offline
FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Trends in dForensics, Feb/2013 JK Kim proneer proneer@gmail.com http://forensic-proof.com Security is a people problem…
forensicinsight.org Page 2 Trends in dForensics, Feb/2013  파일시스템 터널링을 주의하자 (Pay Attention to the File System Tunneling) • 파일시스템 터널링  짧은 시간(기본 15초)안에 폴더에 동일한 이름으로 파일이 생성되면 생성시간을 변경하지 않음  FAT, NTFS 에서 기본적으로 지원  파일을 삭제하거나 파일 이름 변경  캐시에 저장  파일 생성 시 캐시를 검색하여 동일한 파일이름이 있으면 캐시 정보를 복원 • 파일시스템 터널링을 사용하는 이유  임시 파일을 사용하는 프로그램의 동일성 유지를 위해 FORENSIC-PROOF (forensic-proof.com/) (cont’d)
forensicinsight.org Page 3 Trends in dForensics, Feb/2013  파일시스템 터널링을 주의하자 FORENSIC-PROOF (forensic-proof.com/) (cont’d)
forensicinsight.org Page 4 Trends in dForensics, Feb/2013  파일시스템 터널링을 주의하자 (Pay Attention to the File System Tunneling) • 파일시스템 터널링 설정  HKLMSYSTEMControlSet00#ControlFileSystemMaximumTunnelEntryAgeInSeconds  생성 • Data: 초 (캐시 유지 시간) • 파일시스템 터널링 활성화/비활성화  HKLMSYSTEMControlSet00#ControlFileSystemMaximumTunnelEntries  생성 • Data : 0 (비활성화), 1 (활성화) • 파일시스템 흔적이 터널링에 의한 것인지, 공격자의 의도적인 행위인지를 고려 FORENSIC-PROOF (forensic-proof.com/)
forensicinsight.org Page 5 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
forensicinsight.org Page 6 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • 설치 시, 설치 후 설정 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
forensicinsight.org Page 7 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • %UserProfile%Google Drive  gdoc, gsheet, gslides FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
forensicinsight.org Page 8 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • %UserProfile%AppDataLocalGoogleDrive  로그 및 설정 정보 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
forensicinsight.org Page 9 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • %UserProfile%AppDataLocalGoogleDrive  로그 및 설정 정보 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d) 파일/폴더명 저장 정보 cloud_graph 구글 드라이브 클라우드 리소스 ID CrashReports 충돌 보고서 cacerts CAcert 인증서 lockfile 잠긴 파일 pid 프로세스 ID snapshot.db 클라우드, 로컬 파일/폴더 정보 생성/수정 시간, 파일/폴더명, 리소스 ID, URL, 크기, 체크섬, 공유여부, 매핑정보 등 sync_config.db 로컬 싱크 경로, 이메일, 버전 등 sync_log.log 싱크 로그
forensicinsight.org Page 10 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • 레지스트리 아티팩트 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d) 정보 경로 확장자 연결 정보 HKEY_CLASSES_ROOT.gdoc, .gdraw, .gform, .glink, .gnote, .gscript, gsheet, gslides, gtable 설치여부, 인증 토큰 HKEY_CURRENT_USERSoftwareGoogleDrive 자동시작 여부 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 제품명, 설치시간, 설치경로, 상세버전 등 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData S-1-5-18Products{Product GUID}InstallProperties 제품명, 설치시간, 설치경로, 상세버전 등 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{GUID}
forensicinsight.org Page 11 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • 논의 사항  조사 대상에 자동 동기화 설정이 되어 있다면??  사용자명과 패스워드를 이용해 접근 권한을 얻어야 할지??  재판관할권 문제 FORENSIC FOCUS (articles.forensicfocus.com/)
forensicinsight.org Page 12 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 서비스 영역  HDD 상의 논리적인 영역으로 제조사에 의해 생성  LBA(Logical Block Address) 범위 밖의 영역으로 표준 ATA 명령으로 접근 불가  HDD가 복잡해짐에 따라 그런 복잡함을 컨트롤하기 위한 소프트웨어와 데이터로 구성  서비스 영역 데이터  보통 안정성을 위해 백업본 유지 • Detect management module • S.M.A.R.T(Self-Monitoring, Analysis and Reporting Technology) data module • Self-test module • .. … Recover.co.il (cont’d)
forensicinsight.org Page 13 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 서비스 영역 접근  HDD I/O 포트에 VSC(Vendor Specific Commands)를 보내어 접근  VSC는 HDD 제조사마다 제각각이고 공개하지 않음  제조사에서 HDD 기능을 조작하기 위해 도구를 공개하기도 함 • WD(Western Digital) – wdidle3.exe (open source, idle3) • HDDHACKR  PC3000 – 서비스 영역을 접근하여 데이터 복구 시도 Recover.co.il (cont’d)
forensicinsight.org Page 14 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 서비스 영역 크기  서비스 영역과 모듈 크기는 제조사마다 제각각  WD2500KS-00MJB0 (WD Hawk family, 250 GB, Firmware 02AEC) • 6개의 표면을 사용 (헤드 0 ~ 5)  각 표면의 예약된 영역은 대략 23 MB • 헤드 0,1에 매핑된 플래터 표면에 2개의 서비스 영역(원본, 백업본) 존재, 각각 6 MB • 헤드 2 ~ 5에 매핑된 예약된 영역은 사용되지 않음 • 전체 예약된 영역 141 MB 중 12 MB를 서비스 영역으로 사용  WD10EACS-00ZJB0 (WD Hulk family, 1 TB) • 8개의 표면을 사용 (헤드 0 ~ 7)  각 표면의 예약된 영역은 대략 56 MB • 헤드 0,1에 매핑된 플래터 표면에 2개의 서비스 영역(원본, 백업본) 존재, 각각 26 MB • 헤드 2 ~ 7에 매핑된 예약된 영역은 사용되지 않음 • 전체 예약된 영역 450 MB 중 52 MB를 서비스 영역으로 사용 Recover.co.il (cont’d)
forensicinsight.org Page 15 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • VSC로만 접근 가능한 추가적인 예약 영역  HDD 플래시 칩의 부트 스트래핑 공간 (보통 1 MB)  HDD LBA 범위 밖의 사용되지 않는 트랙  헤드가 비활성화되어 있는 디스크 표면 • 데이터 은닉과 파괴 (Data Hiding and Sanitation)  예약된 영역은 HDD VSC에 의해서만 접근 가능  데이터 영구삭제 도구나 포렌식 도구는 해당 영역에 접근이 불가능 Recover.co.il (cont’d)
forensicinsight.org Page 16 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 개념 증명 (Proof of Concept)  WD 250 GB Hawk family • 6개의 표면으로 구성, 면당 64 트랙, 트랙당 720 섹터 • 서비스 영역에 할당된 초기 2개의 표면은 제외 • 나머지 4개 표면의 예약 영역 활용  4 X 64 X 720 X 512 bytes • POC 코드는 데이터 손실, HDD 실패를 유발할 수 있으므로 주의해서 사용  테스트 과정 1. 94 MB의 랜덤 파일을 생성하고 MD5 해시 계산 2. 서비스 영역에 파일 쓰기 3. dd /dev/zero를 이용해 전체 HDD 영구삭제 4. 서비스 영역에서 파일을 읽어 MD5 해시 계산 후 초기 해시값과 비교 Recover.co.il (cont’d)
forensicinsight.org Page 17 Trends in dForensics, Feb/2013  SA-cover-poc.c (http://www.recover.co.il/SA-cover/SA-cover-poc.c) Recover.co.il root@Shafan1:~/SA# dd if=/dev/urandom count=184320 > random- file ; md5sum random-file 184320+0 records in 184320+0 records out 94371840 bytes (94 MB) copied, 12.8187 s, 7.4 MB/s 0baca7245e1efa160512a6217c13a7b0 random-file root@Shafan1:~/SA# ./SA-cover-poc -p 0x0170 -w ./random-file using port address: 0x0170 Model: WDC WD2500KS-00MJB0 S/N: WD-WCANK5391702 F/W Ver: 02.01C03 LBA24:268435455 LBA48:488397168 Service area sectors-per-track (720) Service area tracks (64) Num of heads(6) Unused reversed space (94371840 bytes) writing head(2) track(-1) writing head(2) track(-2) writing head(2) track(-3) .... writing head(5) track(-62) writing head(5) track(-63) writing head(5) track(-64) root@Shafan1:~# dd if=/dev/zero of=/dev/sdb bs=1M dd: writing ‘/dev/sdb’: No space left on device 238476+0 records in 238475+0 records out 250059350016 bytes (250 GB) copied, 4732.86 s, 52.8 MB/s root@Shafan1:~/SA# ./SA-cover-poc -p 0x0170 -r after-dding-dev- zero using port address: 0x0170 Model: WDC WD2500KS-00MJB0 S/N: WD-WCANK5391702 F/W Ver: 02.01C03 LBA24:268435455 LBA48:488397168 Service area sectors-per-track (720) Service area tracks (64) Num of heads(6) Unused reversed space (94371840 bytes) reading head(2) track(-1) reading head(2) track(-2) .... reading head(5) track(-62) reading head(5) track(-63) reading head(5) track(-64) root@Shafan1:~/SA# md5sum after-dding-dev-zero 0baca7245e1efa160512a6217c13a7b0 after-dding-dev-zero
forensicinsight.org Page 18 Trends in dForensics, Feb/2013  Write to an Existing File Without Updating LastWriteTime or LastAccessTimestamps Using PowerShell Learn Powershell (learn-powershell.net) (cont’d)
forensicinsight.org Page 19 Trends in dForensics, Feb/2013  Write to an Existing File Without Updating LastWriteTime or LastAccessTimestamps Using PowerShell Learn Powershell (learn-powershell.net) (cont’d)
forensicinsight.org Page 20 Trends in dForensics, Feb/2013  Write to an Existing File Without Updating LastWriteTime or LastAccessTimestamps Using PowerShell • Write-File.ps1 스크립트 다운로드  http://gallery.technet.microsoft.com/scriptcenter/Write-or-Clear-a-File-49b5afdf Learn Powershell (learn-powershell.net) (cont’d)
forensicinsight.org Page 21 Trends in dForensics, Feb/2013  Read File Without Updating LastAccess TimeStamp using PowerShell • Get-FileContent.ps1 스크립트 다운로드  http://gallery.technet.microsoft.com/scriptcenter/Read-file-without-updating-15eb9cb8 Learn Powershell (learn-powershell.net)
forensicinsight.org Page 22 Trends in dForensics, Feb/2013 Password hashes dump tools
forensicinsight.org Page 23 Trends in dForensics, Feb/2013  Mandiant • Mandiant Exposes APT1 – One of China’s Cyber Espionage Units & Releases 3,000 Indicators • Threat Actors Using Mandiant APT1 Report as a Spear Phishing Lure • Threat Actors Using Mandiant APT1 Report as a Spear Phishing Lure: The Nitty Gritty • Netizen Research Bolsters APT1 Attribution  SANS Computer Forensics • Intro to Report Writing for Digital Forensics • Report Writing for Digital Forensics: Part II  viaForensics • OSDF Conference – YAFFS2 Support for The Sleuth Kit Others (cont’d)
forensicinsight.org Page 24 Trends in dForensics, Feb/2013  EDD AND FORENSICS • Auto-Generating OpenIOCs – ioc_creator.py • Automating OpenIOC with Splunk – IOC Splunker.py  Journey Into Incident Response • Links for Toolz – Custom Googles, Useful Public Resources, Malware Downloaders and Scappers, IDX Information and Parsers, Memory Forensics  Hexacorn • Beyond good ol’ Run key • Beyond good ol’ Run key, Part 2 • Beyond good ol’ Run key, Part 3 Others (cont’d)
forensicinsight.org Page 25 Trends in dForensics, Feb/2013  Another Forensics Blog • Finding and Reverse Engineering Deleted SMS Messages  Bernardo Damele A. G. • Dump Windows password hashes efficiently – Part 1 • Dump Windows password hashes efficiently – Part 2 • Dump Windows password hashes efficiently – Part 3 • Dump Windows password hashes efficiently – Part 4 • Dump Windows password hashes efficiently – Part 5 • Dump Windows password hashes efficiently – Part 6 Others
forensicinsight.org Page 26 Trends in dForensics, Feb/2013  williballenthin.com • INDXParse – NTFS INDX 파서 • phthon-registry – 파이썬 레지스트리 모듈 • python-evtx – EVTX 이벤트 로그 파서 • Shellbags – Shellbags 파서  NirSoft • NirLauncher – NirSoft의 150여개 도구를 포터블 형태로 통합한 도구  Tools Yard • Unhide Forensics Tool – 숨긴 프로세스/포트 확인 • Password Cracker Tool Hashkill – GPU를 지원하는 패스워드 크랙 도구 dForensics Tools (cont’d)
forensicinsight.org Page 27 Trends in dForensics, Feb/2013  Mach-O File Format Template for 010 Editor • Mach-O 010 에디터 템플릿  Unpack.py • WinAppDbg를 사용한 악성코드 자동 언팩 스크립트 dForensics Tools
forensicinsight.org Page 28 Question and Answer

Recommended

(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
INSIGHT FORENSIC
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
INSIGHT FORENSIC
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석
INSIGHT FORENSIC
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
plainbit
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
INSIGHT FORENSIC
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
INSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
INSIGHT FORENSIC
 

Recommended

(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
INSIGHT FORENSIC
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
INSIGHT FORENSIC
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석
INSIGHT FORENSIC
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
plainbit
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
INSIGHT FORENSIC
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
INSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
INSIGHT FORENSIC
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
INSIGHT FORENSIC
 
Hadoop distributed file system rev3
Hadoop distributed file system rev3Hadoop distributed file system rev3
Hadoop distributed file system rev3
Sung-jae Park
 
(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password
INSIGHT FORENSIC
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
GangSeok Lee
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
INSIGHT FORENSIC
 
저장장치
저장장치저장장치
저장장치
박 경민
 
(111217) #fitalk windows system structure
(111217) #fitalk windows system structure(111217) #fitalk windows system structure
(111217) #fitalk windows system structure
INSIGHT FORENSIC
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
INSIGHT FORENSIC
 
Hadoop administration
Hadoop administrationHadoop administration
Hadoop administration
Ryan Guhnguk Ahn
 
(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)
INSIGHT FORENSIC
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
INSIGHT FORENSIC
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
INSIGHT FORENSIC
 
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
INSIGHT FORENSIC
 
Project Panorama: vistas on validated information
Project Panorama: vistas on validated informationProject Panorama: vistas on validated information
Project Panorama: vistas on validated information
Eric Sieverts
 
A pair of shoes in the thesaurus; some reflexions on human and computer indexing
A pair of shoes in the thesaurus; some reflexions on human and computer indexingA pair of shoes in the thesaurus; some reflexions on human and computer indexing
A pair of shoes in the thesaurus; some reflexions on human and computer indexing
Eric Sieverts
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii
INSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
INSIGHT FORENSIC
 
Metadata, standaarden, interoperabiliteit, semantisch web en linked data
Metadata, standaarden, interoperabiliteit, semantisch web en linked dataMetadata, standaarden, interoperabiliteit, semantisch web en linked data
Metadata, standaarden, interoperabiliteit, semantisch web en linked data
Eric Sieverts
 
(121027) #fitalk big brother forensics, device tracking using browser-based...
(121027) #fitalk big brother forensics, device tracking using browser-based...(121027) #fitalk big brother forensics, device tracking using browser-based...
(121027) #fitalk big brother forensics, device tracking using browser-based...
INSIGHT FORENSIC
 
Design Management 2
Design Management 2Design Management 2
Design Management 2
Yeji Shin
 
(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)
INSIGHT FORENSIC
 
이재한 영화 - 예술 사진 모음 상하이
이재한 영화 - 예술 사진 모음 상하이이재한 영화 - 예술 사진 모음 상하이
이재한 영화 - 예술 사진 모음 상하이
Rex Danger
 

More Related Content

What's hot

(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
INSIGHT FORENSIC
 
Hadoop distributed file system rev3
Hadoop distributed file system rev3Hadoop distributed file system rev3
Hadoop distributed file system rev3
Sung-jae Park
 
(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password
INSIGHT FORENSIC
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
GangSeok Lee
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
INSIGHT FORENSIC
 
저장장치
저장장치저장장치
저장장치
박 경민
 
(111217) #fitalk windows system structure
(111217) #fitalk windows system structure(111217) #fitalk windows system structure
(111217) #fitalk windows system structure
INSIGHT FORENSIC
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
INSIGHT FORENSIC
 
Hadoop administration
Hadoop administrationHadoop administration
Hadoop administration
Ryan Guhnguk Ahn
 

What's hot (9)

(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
 
Hadoop distributed file system rev3
Hadoop distributed file system rev3Hadoop distributed file system rev3
Hadoop distributed file system rev3
 
(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
저장장치
저장장치저장장치
저장장치
 
(111217) #fitalk windows system structure
(111217) #fitalk windows system structure(111217) #fitalk windows system structure
(111217) #fitalk windows system structure
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
 
Hadoop administration
Hadoop administrationHadoop administration
Hadoop administration
 

Viewers also liked

(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)
INSIGHT FORENSIC
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
INSIGHT FORENSIC
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
INSIGHT FORENSIC
 
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
INSIGHT FORENSIC
 
Project Panorama: vistas on validated information
Project Panorama: vistas on validated informationProject Panorama: vistas on validated information
Project Panorama: vistas on validated information
Eric Sieverts
 
A pair of shoes in the thesaurus; some reflexions on human and computer indexing
A pair of shoes in the thesaurus; some reflexions on human and computer indexingA pair of shoes in the thesaurus; some reflexions on human and computer indexing
A pair of shoes in the thesaurus; some reflexions on human and computer indexing
Eric Sieverts
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii
INSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
INSIGHT FORENSIC
 
Metadata, standaarden, interoperabiliteit, semantisch web en linked data
Metadata, standaarden, interoperabiliteit, semantisch web en linked dataMetadata, standaarden, interoperabiliteit, semantisch web en linked data
Metadata, standaarden, interoperabiliteit, semantisch web en linked data
Eric Sieverts
 
(121027) #fitalk big brother forensics, device tracking using browser-based...
(121027) #fitalk big brother forensics, device tracking using browser-based...(121027) #fitalk big brother forensics, device tracking using browser-based...
(121027) #fitalk big brother forensics, device tracking using browser-based...
INSIGHT FORENSIC
 
Design Management 2
Design Management 2Design Management 2
Design Management 2
Yeji Shin
 
(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)
INSIGHT FORENSIC
 
이재한 영화 - 예술 사진 모음 상하이
이재한 영화 - 예술 사진 모음 상하이이재한 영화 - 예술 사진 모음 상하이
이재한 영화 - 예술 사진 모음 상하이
Rex Danger
 
Searching the internet - what patent searchers should know
Searching the internet - what patent searchers should knowSearching the internet - what patent searchers should know
Searching the internet - what patent searchers should know
Eric Sieverts
 
Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?
Eric Sieverts
 
40 jaar informatiegebruik
40 jaar informatiegebruik40 jaar informatiegebruik
40 jaar informatiegebruik
Eric Sieverts
 
Vinden dankzij / ondanks metadata
Vinden dankzij / ondanks metadataVinden dankzij / ondanks metadata
Vinden dankzij / ondanks metadata
Eric Sieverts
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii
INSIGHT FORENSIC
 
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
daumfoundation
 
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
daumfoundation
 

Viewers also liked (20)

(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
(Fios#03) 5. 죽은 서비스도 살려내는 포렌식 기술
 
Project Panorama: vistas on validated information
Project Panorama: vistas on validated informationProject Panorama: vistas on validated information
Project Panorama: vistas on validated information
 
A pair of shoes in the thesaurus; some reflexions on human and computer indexing
A pair of shoes in the thesaurus; some reflexions on human and computer indexingA pair of shoes in the thesaurus; some reflexions on human and computer indexing
A pair of shoes in the thesaurus; some reflexions on human and computer indexing
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
 
Metadata, standaarden, interoperabiliteit, semantisch web en linked data
Metadata, standaarden, interoperabiliteit, semantisch web en linked dataMetadata, standaarden, interoperabiliteit, semantisch web en linked data
Metadata, standaarden, interoperabiliteit, semantisch web en linked data
 
(121027) #fitalk big brother forensics, device tracking using browser-based...
(121027) #fitalk big brother forensics, device tracking using browser-based...(121027) #fitalk big brother forensics, device tracking using browser-based...
(121027) #fitalk big brother forensics, device tracking using browser-based...
 
Design Management 2
Design Management 2Design Management 2
Design Management 2
 
(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)
 
이재한 영화 - 예술 사진 모음 상하이
이재한 영화 - 예술 사진 모음 상하이이재한 영화 - 예술 사진 모음 상하이
이재한 영화 - 예술 사진 모음 상하이
 
Searching the internet - what patent searchers should know
Searching the internet - what patent searchers should knowSearching the internet - what patent searchers should know
Searching the internet - what patent searchers should know
 
Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?
 
40 jaar informatiegebruik
40 jaar informatiegebruik40 jaar informatiegebruik
40 jaar informatiegebruik
 
Vinden dankzij / ondanks metadata
Vinden dankzij / ondanks metadataVinden dankzij / ondanks metadata
Vinden dankzij / ondanks metadata
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii
 
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
 
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
 

Similar to (130316) #fitalk trends in d forensics (feb, 2013)

(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
INSIGHT FORENSIC
 
SAP HANA vs Oracle
SAP HANA vs OracleSAP HANA vs Oracle
SAP HANA vs Oracle
Sang-jun Jung
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
INSIGHT FORENSIC
 
ClouDoc intro_eng_20161121
ClouDoc intro_eng_20161121ClouDoc intro_eng_20161121
ClouDoc intro_eng_20161121
sang yoo
 
JBoss Web Server ( JBoss 웹서버 ) 설치 가이드
JBoss Web Server ( JBoss 웹서버 ) 설치 가이드JBoss Web Server ( JBoss 웹서버 ) 설치 가이드
JBoss Web Server ( JBoss 웹서버 ) 설치 가이드
Opennaru, inc.
 
Clou doc intro_kor_20160524
Clou doc intro_kor_20160524Clou doc intro_kor_20160524
Clou doc intro_kor_20160524
sang yoo
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온
시온시큐리티
 
클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기
YoungSu Son
 
ClouDoc intro_kor_20170214
ClouDoc intro_kor_20170214ClouDoc intro_kor_20170214
ClouDoc intro_kor_20170214
sang yoo
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
INSIGHT FORENSIC
 
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발
Jeongkyu Shin
 
IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000
IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000
IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000
Seoro Kim
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
INSIGHT FORENSIC
 
(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101
INSIGHT FORENSIC
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics
INSIGHT FORENSIC
 
MySQL Deep dive with FusionIO
MySQL Deep dive with FusionIOMySQL Deep dive with FusionIO
MySQL Deep dive with FusionIO
I Goo Lee
 
스타트업사례로 본 로그 데이터분석 : Tajo on AWS
스타트업사례로 본 로그 데이터분석 : Tajo on AWS스타트업사례로 본 로그 데이터분석 : Tajo on AWS
스타트업사례로 본 로그 데이터분석 : Tajo on AWS
Gruter
 
JMI Techtalk : Backend.AI
JMI Techtalk : Backend.AIJMI Techtalk : Backend.AI
JMI Techtalk : Backend.AI
Lablup Inc.
 
클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기
클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기
클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기
YoungSu Son
 

Similar to (130316) #fitalk trends in d forensics (feb, 2013) (20)

(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
SAP HANA vs Oracle
SAP HANA vs OracleSAP HANA vs Oracle
SAP HANA vs Oracle
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
ClouDoc intro_eng_20161121
ClouDoc intro_eng_20161121ClouDoc intro_eng_20161121
ClouDoc intro_eng_20161121
 
JBoss Web Server ( JBoss 웹서버 ) 설치 가이드
JBoss Web Server ( JBoss 웹서버 ) 설치 가이드JBoss Web Server ( JBoss 웹서버 ) 설치 가이드
JBoss Web Server ( JBoss 웹서버 ) 설치 가이드
 
Clou doc intro_kor_20160524
Clou doc intro_kor_20160524Clou doc intro_kor_20160524
Clou doc intro_kor_20160524
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온
 
클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기
 
ClouDoc intro_kor_20170214
ClouDoc intro_kor_20170214ClouDoc intro_kor_20170214
ClouDoc intro_kor_20170214
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
 
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발
머신러닝 및 데이터 과학 연구자를 위한 python 기반 컨테이너 분산처리 플랫폼 설계 및 개발
 
IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000
IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000
IBM Storage for AI - NVMe & Spectrum Scale 기술을 탑재한 ESS3000
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 
Hadoop overview
Hadoop overviewHadoop overview
Hadoop overview
 
(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics
 
MySQL Deep dive with FusionIO
MySQL Deep dive with FusionIOMySQL Deep dive with FusionIO
MySQL Deep dive with FusionIO
 
스타트업사례로 본 로그 데이터분석 : Tajo on AWS
스타트업사례로 본 로그 데이터분석 : Tajo on AWS스타트업사례로 본 로그 데이터분석 : Tajo on AWS
스타트업사례로 본 로그 데이터분석 : Tajo on AWS
 
JMI Techtalk : Backend.AI
JMI Techtalk : Backend.AIJMI Techtalk : Backend.AI
JMI Techtalk : Backend.AI
 
클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기
클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기
클라우드 & 모바일 환경에서 알아야 할 성능 품질 이야기
 

More from INSIGHT FORENSIC

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
INSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
INSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
INSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
INSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
INSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
INSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
INSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
INSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
INSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
INSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
INSIGHT FORENSIC
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
INSIGHT FORENSIC
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
INSIGHT FORENSIC
 
(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker
INSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
 
(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker(130727) #fitalk rp log tracker
(130727) #fitalk rp log tracker
 

(130316) #fitalk trends in d forensics (feb, 2013)

  • 1. FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Trends in dForensics, Feb/2013 JK Kim proneer proneer@gmail.com http://forensic-proof.com Security is a people problem…
  • 2. forensicinsight.org Page 2 Trends in dForensics, Feb/2013  파일시스템 터널링을 주의하자 (Pay Attention to the File System Tunneling) • 파일시스템 터널링  짧은 시간(기본 15초)안에 폴더에 동일한 이름으로 파일이 생성되면 생성시간을 변경하지 않음  FAT, NTFS 에서 기본적으로 지원  파일을 삭제하거나 파일 이름 변경  캐시에 저장  파일 생성 시 캐시를 검색하여 동일한 파일이름이 있으면 캐시 정보를 복원 • 파일시스템 터널링을 사용하는 이유  임시 파일을 사용하는 프로그램의 동일성 유지를 위해 FORENSIC-PROOF (forensic-proof.com/) (cont’d)
  • 3. forensicinsight.org Page 3 Trends in dForensics, Feb/2013  파일시스템 터널링을 주의하자 FORENSIC-PROOF (forensic-proof.com/) (cont’d)
  • 4. forensicinsight.org Page 4 Trends in dForensics, Feb/2013  파일시스템 터널링을 주의하자 (Pay Attention to the File System Tunneling) • 파일시스템 터널링 설정  HKLMSYSTEMControlSet00#ControlFileSystemMaximumTunnelEntryAgeInSeconds  생성 • Data: 초 (캐시 유지 시간) • 파일시스템 터널링 활성화/비활성화  HKLMSYSTEMControlSet00#ControlFileSystemMaximumTunnelEntries  생성 • Data : 0 (비활성화), 1 (활성화) • 파일시스템 흔적이 터널링에 의한 것인지, 공격자의 의도적인 행위인지를 고려 FORENSIC-PROOF (forensic-proof.com/)
  • 5. forensicinsight.org Page 5 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
  • 6. forensicinsight.org Page 6 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • 설치 시, 설치 후 설정 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
  • 7. forensicinsight.org Page 7 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • %UserProfile%Google Drive  gdoc, gsheet, gslides FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
  • 8. forensicinsight.org Page 8 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • %UserProfile%AppDataLocalGoogleDrive  로그 및 설정 정보 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d)
  • 9. forensicinsight.org Page 9 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • %UserProfile%AppDataLocalGoogleDrive  로그 및 설정 정보 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d) 파일/폴더명 저장 정보 cloud_graph 구글 드라이브 클라우드 리소스 ID CrashReports 충돌 보고서 cacerts CAcert 인증서 lockfile 잠긴 파일 pid 프로세스 ID snapshot.db 클라우드, 로컬 파일/폴더 정보 생성/수정 시간, 파일/폴더명, 리소스 ID, URL, 크기, 체크섬, 공유여부, 매핑정보 등 sync_config.db 로컬 싱크 경로, 이메일, 버전 등 sync_log.log 싱크 로그
  • 10. forensicinsight.org Page 10 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • 레지스트리 아티팩트 FORENSIC FOCUS (articles.forensicfocus.com/) (cont’d) 정보 경로 확장자 연결 정보 HKEY_CLASSES_ROOT.gdoc, .gdraw, .gform, .glink, .gnote, .gscript, gsheet, gslides, gtable 설치여부, 인증 토큰 HKEY_CURRENT_USERSoftwareGoogleDrive 자동시작 여부 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 제품명, 설치시간, 설치경로, 상세버전 등 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData S-1-5-18Products{Product GUID}InstallProperties 제품명, 설치시간, 설치경로, 상세버전 등 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{GUID}
  • 11. forensicinsight.org Page 11 Trends in dForensics, Feb/2013  What are ‘gdocs’? Google Drive Data – Part 2 • 논의 사항  조사 대상에 자동 동기화 설정이 되어 있다면??  사용자명과 패스워드를 이용해 접근 권한을 얻어야 할지??  재판관할권 문제 FORENSIC FOCUS (articles.forensicfocus.com/)
  • 12. forensicinsight.org Page 12 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 서비스 영역  HDD 상의 논리적인 영역으로 제조사에 의해 생성  LBA(Logical Block Address) 범위 밖의 영역으로 표준 ATA 명령으로 접근 불가  HDD가 복잡해짐에 따라 그런 복잡함을 컨트롤하기 위한 소프트웨어와 데이터로 구성  서비스 영역 데이터  보통 안정성을 위해 백업본 유지 • Detect management module • S.M.A.R.T(Self-Monitoring, Analysis and Reporting Technology) data module • Self-test module • .. … Recover.co.il (cont’d)
  • 13. forensicinsight.org Page 13 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 서비스 영역 접근  HDD I/O 포트에 VSC(Vendor Specific Commands)를 보내어 접근  VSC는 HDD 제조사마다 제각각이고 공개하지 않음  제조사에서 HDD 기능을 조작하기 위해 도구를 공개하기도 함 • WD(Western Digital) – wdidle3.exe (open source, idle3) • HDDHACKR  PC3000 – 서비스 영역을 접근하여 데이터 복구 시도 Recover.co.il (cont’d)
  • 14. forensicinsight.org Page 14 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 서비스 영역 크기  서비스 영역과 모듈 크기는 제조사마다 제각각  WD2500KS-00MJB0 (WD Hawk family, 250 GB, Firmware 02AEC) • 6개의 표면을 사용 (헤드 0 ~ 5)  각 표면의 예약된 영역은 대략 23 MB • 헤드 0,1에 매핑된 플래터 표면에 2개의 서비스 영역(원본, 백업본) 존재, 각각 6 MB • 헤드 2 ~ 5에 매핑된 예약된 영역은 사용되지 않음 • 전체 예약된 영역 141 MB 중 12 MB를 서비스 영역으로 사용  WD10EACS-00ZJB0 (WD Hulk family, 1 TB) • 8개의 표면을 사용 (헤드 0 ~ 7)  각 표면의 예약된 영역은 대략 56 MB • 헤드 0,1에 매핑된 플래터 표면에 2개의 서비스 영역(원본, 백업본) 존재, 각각 26 MB • 헤드 2 ~ 7에 매핑된 예약된 영역은 사용되지 않음 • 전체 예약된 영역 450 MB 중 52 MB를 서비스 영역으로 사용 Recover.co.il (cont’d)
  • 15. forensicinsight.org Page 15 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • VSC로만 접근 가능한 추가적인 예약 영역  HDD 플래시 칩의 부트 스트래핑 공간 (보통 1 MB)  HDD LBA 범위 밖의 사용되지 않는 트랙  헤드가 비활성화되어 있는 디스크 표면 • 데이터 은닉과 파괴 (Data Hiding and Sanitation)  예약된 영역은 HDD VSC에 의해서만 접근 가능  데이터 영구삭제 도구나 포렌식 도구는 해당 영역에 접근이 불가능 Recover.co.il (cont’d)
  • 16. forensicinsight.org Page 16 Trends in dForensics, Feb/2013  Hiding Data in Hard-Drive’s Service Areas (http://www.recover.co.il/SA-cover/SA-cover.pdf) • 개념 증명 (Proof of Concept)  WD 250 GB Hawk family • 6개의 표면으로 구성, 면당 64 트랙, 트랙당 720 섹터 • 서비스 영역에 할당된 초기 2개의 표면은 제외 • 나머지 4개 표면의 예약 영역 활용  4 X 64 X 720 X 512 bytes • POC 코드는 데이터 손실, HDD 실패를 유발할 수 있으므로 주의해서 사용  테스트 과정 1. 94 MB의 랜덤 파일을 생성하고 MD5 해시 계산 2. 서비스 영역에 파일 쓰기 3. dd /dev/zero를 이용해 전체 HDD 영구삭제 4. 서비스 영역에서 파일을 읽어 MD5 해시 계산 후 초기 해시값과 비교 Recover.co.il (cont’d)
  • 17. forensicinsight.org Page 17 Trends in dForensics, Feb/2013  SA-cover-poc.c (http://www.recover.co.il/SA-cover/SA-cover-poc.c) Recover.co.il root@Shafan1:~/SA# dd if=/dev/urandom count=184320 > random- file ; md5sum random-file 184320+0 records in 184320+0 records out 94371840 bytes (94 MB) copied, 12.8187 s, 7.4 MB/s 0baca7245e1efa160512a6217c13a7b0 random-file root@Shafan1:~/SA# ./SA-cover-poc -p 0x0170 -w ./random-file using port address: 0x0170 Model: WDC WD2500KS-00MJB0 S/N: WD-WCANK5391702 F/W Ver: 02.01C03 LBA24:268435455 LBA48:488397168 Service area sectors-per-track (720) Service area tracks (64) Num of heads(6) Unused reversed space (94371840 bytes) writing head(2) track(-1) writing head(2) track(-2) writing head(2) track(-3) .... writing head(5) track(-62) writing head(5) track(-63) writing head(5) track(-64) root@Shafan1:~# dd if=/dev/zero of=/dev/sdb bs=1M dd: writing ‘/dev/sdb’: No space left on device 238476+0 records in 238475+0 records out 250059350016 bytes (250 GB) copied, 4732.86 s, 52.8 MB/s root@Shafan1:~/SA# ./SA-cover-poc -p 0x0170 -r after-dding-dev- zero using port address: 0x0170 Model: WDC WD2500KS-00MJB0 S/N: WD-WCANK5391702 F/W Ver: 02.01C03 LBA24:268435455 LBA48:488397168 Service area sectors-per-track (720) Service area tracks (64) Num of heads(6) Unused reversed space (94371840 bytes) reading head(2) track(-1) reading head(2) track(-2) .... reading head(5) track(-62) reading head(5) track(-63) reading head(5) track(-64) root@Shafan1:~/SA# md5sum after-dding-dev-zero 0baca7245e1efa160512a6217c13a7b0 after-dding-dev-zero
  • 18. forensicinsight.org Page 18 Trends in dForensics, Feb/2013  Write to an Existing File Without Updating LastWriteTime or LastAccessTimestamps Using PowerShell Learn Powershell (learn-powershell.net) (cont’d)
  • 19. forensicinsight.org Page 19 Trends in dForensics, Feb/2013  Write to an Existing File Without Updating LastWriteTime or LastAccessTimestamps Using PowerShell Learn Powershell (learn-powershell.net) (cont’d)
  • 20. forensicinsight.org Page 20 Trends in dForensics, Feb/2013  Write to an Existing File Without Updating LastWriteTime or LastAccessTimestamps Using PowerShell • Write-File.ps1 스크립트 다운로드  http://gallery.technet.microsoft.com/scriptcenter/Write-or-Clear-a-File-49b5afdf Learn Powershell (learn-powershell.net) (cont’d)
  • 21. forensicinsight.org Page 21 Trends in dForensics, Feb/2013  Read File Without Updating LastAccess TimeStamp using PowerShell • Get-FileContent.ps1 스크립트 다운로드  http://gallery.technet.microsoft.com/scriptcenter/Read-file-without-updating-15eb9cb8 Learn Powershell (learn-powershell.net)
  • 22. forensicinsight.org Page 22 Trends in dForensics, Feb/2013 Password hashes dump tools
  • 23. forensicinsight.org Page 23 Trends in dForensics, Feb/2013  Mandiant • Mandiant Exposes APT1 – One of China’s Cyber Espionage Units & Releases 3,000 Indicators • Threat Actors Using Mandiant APT1 Report as a Spear Phishing Lure • Threat Actors Using Mandiant APT1 Report as a Spear Phishing Lure: The Nitty Gritty • Netizen Research Bolsters APT1 Attribution  SANS Computer Forensics • Intro to Report Writing for Digital Forensics • Report Writing for Digital Forensics: Part II  viaForensics • OSDF Conference – YAFFS2 Support for The Sleuth Kit Others (cont’d)
  • 24. forensicinsight.org Page 24 Trends in dForensics, Feb/2013  EDD AND FORENSICS • Auto-Generating OpenIOCs – ioc_creator.py • Automating OpenIOC with Splunk – IOC Splunker.py  Journey Into Incident Response • Links for Toolz – Custom Googles, Useful Public Resources, Malware Downloaders and Scappers, IDX Information and Parsers, Memory Forensics  Hexacorn • Beyond good ol’ Run key • Beyond good ol’ Run key, Part 2 • Beyond good ol’ Run key, Part 3 Others (cont’d)
  • 25. forensicinsight.org Page 25 Trends in dForensics, Feb/2013  Another Forensics Blog • Finding and Reverse Engineering Deleted SMS Messages  Bernardo Damele A. G. • Dump Windows password hashes efficiently – Part 1 • Dump Windows password hashes efficiently – Part 2 • Dump Windows password hashes efficiently – Part 3 • Dump Windows password hashes efficiently – Part 4 • Dump Windows password hashes efficiently – Part 5 • Dump Windows password hashes efficiently – Part 6 Others
  • 26. forensicinsight.org Page 26 Trends in dForensics, Feb/2013  williballenthin.com • INDXParse – NTFS INDX 파서 • phthon-registry – 파이썬 레지스트리 모듈 • python-evtx – EVTX 이벤트 로그 파서 • Shellbags – Shellbags 파서  NirSoft • NirLauncher – NirSoft의 150여개 도구를 포터블 형태로 통합한 도구  Tools Yard • Unhide Forensics Tool – 숨긴 프로세스/포트 확인 • Password Cracker Tool Hashkill – GPU를 지원하는 패스워드 크랙 도구 dForensics Tools (cont’d)
  • 27. forensicinsight.org Page 27 Trends in dForensics, Feb/2013  Mach-O File Format Template for 010 Editor • Mach-O 010 에디터 템플릿  Unpack.py • WinAppDbg를 사용한 악성코드 자동 언팩 스크립트 dForensics Tools